giản hay intranet VPN. RT có thể được sử dụng để thực hiện cấu trúc VPN phức tạp, các site của một khách hàng có thể truy cập đến site của các khách hàng khác. Dạng thực thi này được gọi là extranet VPN. Các biến thể của extranet VPN như network management VPN, central services VPN và Internet access VPN có thể được triển khai. Address family là một khái niệm quan trọng trong hoạt động của MP-BGP cho phép chuyển vận các tuyến VPNv4 với các thuộc tính community mở rộng.
Theo RFC 2283 “Multiprotocol Extensions for BGP-4”, BGPv4 chỉ có khả năng mang thông tin định tuyến thuộc vào IPv4. BGP-4 có thể mang thông tin của nhiều giao thức lớp mạng. BGP-4 hỗ trợ định tuyến cho nhiều giao thức lớp mạng, BGP-4 phải đăng ký (account) một giao thức lớp mạng cụ thể liên quan đế một trạm kế (next hop) như NLRI (network layer reachability information). Hai thuộc tính mới được thêm vào của BGP là MP_REACH_NLRI (Multiprotocol Reachable NLRI) và MP_UNREACH_NLRI (Multiprotocol Unreachable NLRI). MP_REACH_NLRI mang một tập các đích đến được (reachable destination) với thông tin trạm kế được dùng để chuyển tiếp cho các đích đến này.
MP_UNEACH_NLRI mang một tập các đích không đến được. Cả hai thuộc tính này là optional và nontransitive. Vì thế, một BGP speaker không hỗ trợ tính năng đa giao thức này sẽ bỏ qua thông tin được mang trong các thuộc tính này và sẽ không chuyển nó đến các BGP speaker khác.
Một address family là một giao thức lớp mạng được định nghĩa. Một định danh họ địa chỉ (AFI – address family identifier) mang một định danh của giao thức lớp mạng kết hợp với địa chỉ mạng trong thuộc tính đa giao thức của BGP. AFI cho các giao thức lớp mạng được xác định trong RFC 1700, ‘Assigned Numbers’. PE thực chất là một LER biên (Edge LSR) và thực hiện tất cả chức năng của một Edge LSR. PE yêu cầu LDP cho việc gán và phân phối nhãn cũng như chuyển tiếp các gói được gắn nhãn. Cộng thêm các chức năng của một Edge LSR, PE thực thi một giao thức định tuyến (hay định tuyến tĩnh) với các EC trong một bảng định tuyến ảo (virtual routing table) và yêu cầu MP-BGP quảng bá các mạng học được từ CE như các VPNv4 trong MP-iBGP đến các PE khác bằng nhãn VPN.
Router P cần chạy một IGP (OSPF hoặc ISIS) khi MPLS cho phép chuyển tiếp các gói được gán nhãn (mặt phẳng dữ liệu – data plane) giữa các PE. IGP quảng bá các
NLRI đến các P và PE để thực thi một MP—iBGP session giữa các PE (mặt phẳng điều khiển – control plane). LDP chạy trên các router P để gán và phân phối nhãn.
3.2. Chuyển tiếp gói trong mạng MPLS VPN
Như đã nói trong phần trước, những gói không thể được chuyển tiếp như gói IP đơn thuần giữa các site. Bộ định tuyến P không thể chuyển tiếp chúng bởi vì nó không có thông tin VRF từ mỗi site. MPLS không thể giải quyết vấn đề này bởi dán nhãn vào gói. Bộ định tuyến P sau đó phải có thông tin chuyển tiếp đúng cho nhãn để chuyển tiếp gói. Cách chung nhất là cấu hình giao thức phân phối nhãn (LDP) giữa tất cả các bộ định tuyến P và PE nên tất cả các lưu lượng IP là chuyển mạch nhãn giữa chúng. Ta cũng có thể sử dụng giao thức RSVP mở rộng cho điều khiển lưu lượng (TE) khi thực thi MPLS TE, nhưng LDP là phương thức chung nhất cho MPLS VPN. Gói IP sau đó được chuyển tiếp nhãn với một nhãn từ bộ định tuyến PE vào tới bộ định tuyến PE ra. Bộ định tuyến P không bao giờ phải thực hiện việc tìm kiếm địa chỉ IP đích. Đây là cách để các gói được chuyển mạch giữa các bộ định tuyến PE vào và ra. Những nhãn này được gọi là nhãn IGP, bởi vì nó là nhãn phải có trong tiền tố IPv4 trong bảng định tuyến toàn cục của bộ định tuyến P và PE, và IGP của mạng nhà cung cấp dịch vụ quảng bá nó.
Có thể bạn quan tâm!
-
Định Tuyến, Chuyển Mạch, Chuyển Tiếp -
Định Nghĩa Mô Hình Peer To Peer Ứng Dụng Trong Mpls Vpn -
Chức Năng Của Vrf Trên Một Touter Pe Thực Hiện Tách Tuyến Khách Hàng -
Nghiên cứu chuyển mạch nhãn đa giao thức MPLS và ứng dụng vào VPN - 8
Xem toàn bộ 69 trang tài liệu này.
Làm thế nào để bộ định tuyến PE biết được gói nào thuộc VRF nào. Thông tin này không có trong mào đầu IP, và nó không thể được nhận lấy từ nhãn IGP, bởi vì đây chỉ được sử dụng để chuyển tiếp gói qua mạng của nhà cung cấp dịch vụ. Giải pháp ở đây là thêm một nhãn khác trong chồng nhãn MPLS. Nhãn này sẽ chỉ ra gói nào thuộc VRF. Do đó tất cả các gói của khách hàng được chuyển tiếp với 2 nhãn: nhãn IGP như là nhãn trên cùng và nhãn VPN như là nhãn dưới cùng. Nhãn VPN phải được đặt trên bộ định tuyến PE vào để chỉ ra bộ định tuyến PE ra nào mà gói thuộc VRF đó. Làm thế nào để bộ định tuyến PE ra báo hiệu tới bộ định tuyến PE vào mà nhãn được sử dụng cho tiền tố VRF? Bởi MP – BGP thực sự được sử dụng để quảng bá tiền tố VPNv4, nó cũng báo hiệu nhãn VPN (được biết đến nhãn BGP) mà được kết nối với tiền tố VPNv4.
Chú ý: Thực sự thì khái niệm có một nhãn VPN chỉ ra gói nào thuộc VRF cũng không thực sự đúng. Nó có thể đúng trong vài trường hợp, nhưng đa số là không. Nhãn VPN thường chỉ ra nút tiếp theo mà gói được chuyển tiếp tới trên bộ định tuyến PE ra. Do
đó, mục đích của nó là để chỉ bộ định tuyến CE đúng như bước tiếp theo của gói.
Nói tóm lại, lưu lượng VRF – to – VRF có 2 nhãn trong mạng MPLS VPN. Nhãn trên cùng là nhãn IGP và được phân phối bởi LDP hoặc RSVP cho TE giữa tất cả các bộ định tuyến P và PE hop by hop. Nhãn dưới cùng là nhãn VPN mà được quảng bá bởi MP – iBGP từ PE đến PE. Những bộ định tuyến P sử dụng nhãn IBG để chuyển tiếp gói tới bộ định tuyến PE ra tương ứng. Bộ định tuyến PE ra sử dụng nhãn VPN để chuyển tiếp gói IP tới bộ định tuyến CE tương ứng.
Hình sau đây mô tả việc chuyển tiếp gói trong mạng MPLS VPN. Gói đi vào bộ định tuyến PE trên giao diện VRF như là gói IPv4. Nó được chuyển tiếp qua mạng MPLS VPN với hai nhãn. Bộ định tuyến P chuyển tiếp nhãn bằng việc tìm kiếm tại nhãn trên cùng. Nhãn trên cùng được trao đổi với nhau tại mỗi bộ định tuyến P. Những nhãn này được tách ra tại bộ định tuyến PE và gói được chuyển tiếp như một gói IPv4 trên giao diện VRF tới bộ định tuyến CE. Bộ định tuyến CE tương ứng được tìm thấy bởi việc tìm kiếm nhãn VPN. Trong phần này ta sẽ xem xét về sự sống của gói IP vì nó đi ngang qua mạng đường trục MPLS VPN từ một địa điểm của khách hàng tới một địa điểm khác. Đầu tiên phải xét đến những khối xây dựng cơ bản của MPLS VPN. Giữa các PE cần có đa giao thức iBGP, giao thức này sẽ phân phối tuyến vpnv4 và nhãn VPN kết hợp. Giữa các bộ PE và P cần thiết phải có một giao thức phân phối nhãn. Ở đây là giả thiết rằng giao thức phân phối nhãn này là LDP. Giữa các bộ định tuyến PE và CE cần thiết phải có một giao thức định tuyến để chạy và đặt những tuyến của khách hàng vào trong bảng định tuyến VRF trên PE.
Cuối cùng,những bộ định tuyến này cần được phân bố trong MP-iBGP và ngược lại. Hình 3 -19 và 3-20 giúp ta hiểu rõ hơn về vấn đề này. Hình 3-26 chỉ tuyến quảng bá của vpnv4 và nhãn từ PE ra tới PE vào và sự quảng bá của tuyến IGP – biểu diễn bước nhảy tiếp theo BGP của PE ra – và nhãn tới PE vào. Địa chỉ bước nhảy tiếp theo BGP trên PE ra là 10.200.254.2/32, mà một IGP quảng bá tới PE vào. Nhãn cho tuyến IGP được quảng bá hop by hop bởi LDP. Tuyến IPv4 của khách hàng 10.10.100.1/32 được quảng bá bởi giao thức định tuyến PE – CE từ CE tới PE ra. PE ra thêm RD 1:1, chuyển nó vào trong tuyến vpnv4 1:1:10.10.100/32, và gửi nó đến PE vào với nhãn 30 qua iBGP đa giao thức.
Hình 3.14. Sự sống của một gói IPv4 qua mạng đường trục MPLS VPN tuyến và quảng bá nhãn.
Hình 3.15. Đời sống của gói IPv4 qua mạng đường trục MPLS VPN
Khi một gói IP đi vào ingress PE từ CE, PE vào sẽ tìm kiếm địa chỉ IP đích trong bảng CEF, VRF cust-one. PE vào tìm VRF đúng bằng việc tìm tại giao diện gói vào bộ định tuyến PE, và với bảng VRF mà giao diện này liên kết tới. Các mục vào (entry) cụ thể trong bảng CEF VRF thường thể hiện rằng có 2 nhãn cần thiết được thêm vào.
Chú ý: Khi PE vào và PE ra được kết nối trực tiếp, các gói sẽ chỉ có một nhãn duy nhất – nhãn VPN. Đầu tiên, PE vào gắn nhãn VPN 30 – như được quảng bá bởi BGP cho tuyến vpnv4. Nó trở thành nhãn cuối. Sau đó, PE vào gắn nhãn IGP như nhãn trên cùng. Nhãn này là nhãn mà liên kết với tuyến IGP/32 cho địa chỉ IP bước
nhảy tiếp theo BGP. Đây thường là địa chỉ IP của giao diện loopback trên PE ra. Nhãn này được quảng bá hop by hop giữa các bộ định tuyến P cho tới khi nó tới được PE ra. Mỗi bước nhảy thay đổi giá trị của nhãn. Nhãn IGP mà được gắn bởi PE vào là nhãn 16.
Gói IPv4 đi ra khỏi PE vào với 2 nhãn trên của nó. Nhãn trên cùng – nhãn iGP cho PE ra – được hoán đổi tại mỗi bước nhảy. Nhãn này đặt gói IPv4 VPN tới đúng PE ra. Thông thường, bởi vì đây là hoạt động mặc định trong Cisco IOS – hoạt động PHP được đặt giữa bộ định tuyến P cuối cùng và PE ra. Do đó, nhãn IBP được gỡ ra trên bộ định tuyến P cuối cùng và gói đi vào trong bộ PE ra chỉ với một nhãn VPN trong ngăn xếp nhãn. Bộ PE ra tìm kiếm nhãn VPN trong LFIB và đưa ra quyết định chuyển tiếp. Bởi vì nhãn đi ra (outgoing label) là nhãn số (No label), ngăn xếp nhãn còn lại bị gỡ bỏ và gói được chuyển tiếp như gói IP tới bộ định tuyến CE. Bộ PE ra không phải thực hiện việc tra cứu địa chỉ IP đích trong mào đầu IP nếu nhãn ra (outgoing label) là nhãn số (No label). Thông tin bước nhảy đúng tiếp theo được tìm thấy bởi sự tìm kiếm nhãn VPN trong LFIB. Chỉ khi nhãn ra là Aggreate, bộ PE ra phải thực hiện việc tra cứu IP trong bảng CEF VRF sau khi tra cứu nhãn trong LFIB.
Hình 3.16. Chuyển tiếp gói trong mạng MPLS VPN
3.3. So sánh VPN truyền thống và MPLS VPN
3.3.1. VPN truyền thống
Hình 3.17 Mô hình VPN truyền thống
Hạn chế đầu tiên và cũng là dễ nhận thấy nhất ở IPSec đó là làm giảm hiệu năng của mạng. Khi xét đường đi của một gói tin được gửi từ máy tính A trong mạng A đến máy tính B trong mạng B. Gói tin từ máy tính A sẽ được gửi đến CPE A. CPE-A sẽ kiểm tra gói tin xem liệu nó có cần thiết phải chuyển đến CPEB hay không. Trong một môi trường mạng không có VPN thì gói tin sẽ được truyền ngay đến CPE-B. Tuy nhiên, với giao thức IPSec, CPE-A phải thực hiện một số thao tác trước khi gửi gói tin đi. đầu tiên, gói tin được mã hóa, sau đó đóng gói vào các gói IP, hoạt động này tiêu tốn thời gian và gây trễ cho gói tin. Tiếp theo gói tin sẽ được đưa vào trong mạng của nhà cung cấp dịch vụ. Lúc này, nếu gói tin mới được tạo thành có kích thước lớn hơn kích thước tối đa cho phép truyền (MTU) trên bất cứ một liên kết nào giữa CPE- A và CPE-B thì gói tin sẽ cần phải được phân mảnh thành hai hay nhiều gói tin nhỏ hơn. điều này chỉ xảy ra trong trường hợp bit DF (Don't Fragment) không được thiết lập, còn trong trường hợp bit DF được thiết lập thì gói tin sẽ bị mất và một bản tin ICMP sẽ được gửi lại phía phát. Khi gói tin đến được CPE-B, nó sẽ được mở gói và giải mã, hai hoạt động này tiếp tục làm trễ gói tin trong mạng. Cuối cùng, CPE - B sẽ chuyển tiếp gói tin đến máy tính B.
Thời gian trễ trong mạng sẽ phụ thuộc vào độ phức tạp và tốc độ xử lý của các CPE. Các thiết bị CPE chất lượng thấp thường phải thực hiện hầu hết các chức năng IPSec bằng phần mềm khiến trễ trong mạng lớn. Các thiết bị CPE với khả năng thực hiện các chức năng IPSec bằng phần cứng có thể tăng tốc độ xử lý gói tin lên rất nhiều nhưng chi phí cho các thiết bị này là rất đắt. điều này dẫn đến chi phí triển khai một mạng IPSec VPN là rất tốn kém.
Các công nghệ IP VPN khác hiện có, như IPSec, L2TP, L2F và GRE – tất cả đều hoạt động tốt với cấu hình mạng sao (hub–and–spoke). Tuy nhiên, mạng ngày nay cần liên lạc nhiều chiều (any–to–any). Để hỗ trợ điều này sử dụng Frame relay hay giao thức đường hầm thì cần phải có cấu hình dạng kết nối đầy đủ (full mesh) các PVC hay đường hầm giữa các vùng là thành viên. Mạng không thể cung cấp và quản lý một cấu hình đầy đủ (full mesh topology) sử dụng các công nghệ truyền thống với hàng ngàn hay chục ngàn VPN.
Một điểm chúng ta cần phải cân nhắc khi triển khai các mạng VPN đó là các thiết bị CPE. Mỗi nhà cung cấp cần phải chắc chắn rằng tất cả các CPE sẽ hoạt động tương thích với nhau. Giải pháp đơn giản và hiệu quả nhất là sử dụng cùng một loại CPE trong mỗi vùng, tuy nhiên, điều này không phải bao giờ cũng thực hiện được do nhiều yếu tố khác nhau. Tuy ngày nay sự tương thích không phải là một vấn đề lớn nhưng nó vẫn cần phải được quan tâm khi hoạch định một giải pháp mạng IPSec VPN.
3.7.2. MPLS VPN
Hình 3.18 MPLS VPN
Các mạng MPLS VPN không sử dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao. MPLS VPN sử dụng bảng chuyển tiếp và các nhãn để tạo nên tính bảo mật cho mạng VPN. Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN, và các cơ chế xử lý thông minh của MPLS VPN lúc này nằm hoàn toàn trong phần lõi của mạng.
Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riêng biệt. VRF cung cấp các thông tin về mối quan hệ trong VPN của một site khách hàng khi được nối với PE router. Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong các bảng định tuyến IP và bảng CEF. Các bảng này được duy
trì riêng lẻ cho từng VRF nên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN cũng như ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong mạng VPN. Đây chính là cơ chế bảo mật của MPLS VPN. Bên trong mỗi một MPLS VPN, có thể kết nối bất kỳ hai điểm nào với nhau và các site có thể gửi thông tin trực tiếp cho nhau mà không cần thông qua site trung tâm.
Các CE không đòi hỏi chức năng VPN và hỗ trợ IPSec. điều này có nghĩa là khách hàng không phải chi phí quá cao cho các thiết bị CE. Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng không phải thông qua các hoạt động như đóng gói và mã hóa.
Sở dĩ không cần chức năng mã hóa là vì MPLS VPN tạo nên một mạng riêng. Việc tạo một mạng đầy đủ (full mesh) VPN là hoàn toàn đơn giản vì các MPLS VPN không sử dụng cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là full mesh, trong đó các site được nối trực tiếp với PE vì vậy các site bất kỳ có thể trao đổi thông tin với nhau trong VPN.Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN.